据称,沉默的黑客组织从荷兰孟加拉银行那里偷走了300万美元。
一群专门攻击银行的黑客再次展开攻击,这次他们分别在孟加拉国,印度,斯里兰卡和吉尔吉斯斯坦攻击了四个目标,来自Group-IB的安全研究人员告诉ZDNet。
根据当地媒体的报道,目前公开的唯一事件是影响荷兰孟加拉银行的事件,该银行在5月份发生的几轮ATM取款攻击中损失了300多万美元。
沉默组织扩展到欧洲以外
在与ZDNet分享的报告中,Group-IB将荷兰孟加拉银行事件与一群被称为“沉默”的黑客联系在一起。
有媒体在2018年9月曾报道过该组织,因为2016年针对俄罗斯,前苏联国家和东欧的一些银行进行攻击。
根据Group-IB恶意代码动态分析负责人Rustam Mirkasymov的说法,这是该集团首次进军亚洲市场。
攻击荷兰孟加拉银行黑客与沉默基础设施相关联
Mirkasymov告诉ZDNet,Group-IB已经能够将攻击荷兰孟加拉银行黑客与Silence的服务器基础设施联系起来。
“Group-IB有能力积极跟踪这个和其他有经济动机的网络犯罪团体的网络犯罪分子的基础设施,”他在一封电子邮件中告诉ZDNet。“这一切使我们能够无限期地确认银行网络内的受感染机器正在与Silence的基础设施进行通信。”
“在这种情况下,我们发现荷兰孟加拉银行的主机与外部IP 103.11.138.47和103.11.138.198至少从2019年2月开始与Silence的C&C(185.20.187.89)进行通信,”Mirkasymov 在一封电子邮件中告诉ZDNet。
据研究人员称,该组织似乎已在银行网络上部署了同名的Silence恶意软件,其中包含用于在受感染主机上运行恶意命令以及设置代理服务器以掩盖恶意流量的模块。
该集团似乎利用这种权限来协调从银行的ATM机上提取协调资金。
这些攻击如何发生目前尚不清楚。当地媒体发现的一段YouTube视频显示,两名男子(后来被确认为乌克兰人)访问荷兰孟加拉银行的自动取款机,拨打电话,然后提取大笔款项。使用荷兰孟加拉银行ATM取款发生在5月31日,但在此之前,骗子还使用克隆卡和荷兰孟加拉银行客户的数据从塞浦路斯,俄罗斯和乌克兰的ATM取款。
这表明,Silence集团可能利用他们对银行网络的访问来促进和允许大型ATM提款而不会触发警报,最有可能的方法是在运行ATM专用软件的系统上部署他们的定制Atmosphere恶意软件。
另外两家孟加拉国银行也遭遇攻击
孟加拉国当地媒体报道,另外两家当地银行--NCC银行和Prime银行 - 也面临与荷兰孟加拉银行类似的问题,但他们设法避免了经济损失。目前还不清楚沉默组织是否也参与了这些攻击。
Group-IB表示,Silence确实袭击了其他三个国家的银行 - 印度,斯里兰卡和吉尔吉斯斯坦 - 但无法透露他们的名字。
在2018年9月,Group-IB表示该组织只是成功地攻击了独联体和东欧国家,但他们向世界各地的银行发送了鱼叉式网络钓鱼邮件。
今天的报告显示,该组织最终成功地破坏了正常运营区以外的其他目标。
根据Group-IB从2018年9月起对沉默黑客组织的报告,该组织是一个小型的两人操作,其中一名成员被怀疑是网络安全行业的一份子。
然而,Mirkasymov告诉ZDNet,“自该报告发布以来,该团伙的结构可能已经发生变化”。Mirkasymov表示,他的公司最近发现其中一位Silence开发人员将“FlawedAmmyy loader”恶意软件作为其他网络犯罪操作的第三方开发人员编写。
